Un package malveillant PyPI cible macOS pour voler les identifiants Google Cloud - Actus du 27/07/2024
Cyberattaque : La grande loge des francs-maçons ciblée par Lockbit. Pendant ce temps, les autorités françaises traquent le malware PlugX et un package malveillant PyPI menace macOS pour voler les identifiants Google Cloud. Découvrez les actions en cours pour contrer ces menaces.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Une grande loge des francs-maçons victime d’une cyberattaque des hackers de Lockbit
Le 26 juillet, le groupe de hackers Lockbit a revendiqué une cyberattaque contre La Grande Loge nationale française, une institution maçonnique fondée il y a plus d'un siècle et comptant environ 29 000 membres masculins. Les pirates exigent une rançon avant le 4 août, menaçant de publier une base de données si leurs demandes ne sont pas satisfaites. La Grande Loge n'a pas encore réagi à cette menace. Lockbit, connu pour ses attaques par ransomware, s'introduit dans les réseaux informatiques pour bloquer l'accès aux fichiers et extorquer de l'argent. Ce groupe a récemment attiré l'attention des médias après avoir attaqué l'hôpital de Corbeil-Essonnes. En février, une opération internationale avait conduit à l'arrestation de plusieurs membres de Lockbit et à la neutralisation de leur plateforme. Malgré cette opération, le groupe a continué ses activités, paralysant l'hôpital de Cannes en avril et ciblant la région Pays de la Loire en juillet. Cette situation souligne la persistance des cybermenaces en France et la vulnérabilité des institutions face à ces attaques.
Sources :
Les autorités françaises lancent une opération pour supprimer le malware PlugX des systèmes infectés
Les autorités judiciaires françaises, en collaboration avec Europol, ont lancé une opération de "désinfection" pour éliminer le malware PlugX, un cheval de Troie d'accès à distance utilisé par des acteurs menaçants liés à la Chine depuis 2008. Initiée le 18 juillet, cette opération devrait se poursuivre pendant plusieurs mois et a déjà aidé environ une centaine de victimes en France et dans d'autres pays européens. Cette initiative fait suite à la découverte par la société de cybersécurité Sekoia d'un serveur de commande et de contrôle associé à PlugX, qui a révélé que près de 100 000 adresses IP publiques envoyaient quotidiennement des requêtes liées à ce malware. PlugX utilise des techniques de chargement latéral de DLL pour exécuter des commandes, télécharger des fichiers et collecter des données sensibles. Il a également intégré un composant capable de se propager via des clés USB infectées, contournant ainsi les réseaux isolés. Sekoia a proposé une solution de désinfection, mais la suppression à distance du malware pose des complications juridiques. Les décisions concernant l'effacement des systèmes compromis sont laissées aux équipes nationales de réponse aux urgences informatiques et aux autorités de cybersécurité.
Sources :
Un package malveillant PyPI cible macOS pour voler les identifiants Google Cloud
Des chercheurs en cybersécurité ont découvert un package malveillant sur le dépôt Python Package Index (PyPI) ciblant les systèmes macOS pour voler les identifiants Google Cloud d'un groupe restreint de victimes. Nommé "lr-utils-lib", ce package a été téléchargé 59 fois avant d'être retiré, après avoir été mis en ligne en juin 2024. Selon Yehuda Gelb de Checkmarx, le malware utilise une liste de hachages prédéfinis pour cibler des machines macOS spécifiques et tente de récupérer des données d'authentification Google Cloud. Il vérifie d'abord s'il est installé sur un système macOS, puis compare l'UUID de la machine avec une liste de 64 hachages. Si la machine est compromise, il accède à deux fichiers contenant des données d'authentification, qui sont ensuite envoyées à un serveur distant. Checkmarx a également trouvé un faux profil LinkedIn associé au propriétaire du package, suggérant un élément de manipulation sociale. Bien que l'identité des auteurs reste inconnue, cette campagne fait suite à une autre attaque de chaîne d'approvisionnement, indiquant que les acteurs malveillants ciblent délibérément des systèmes macOS spécifiques. Ces attaques peuvent avoir des conséquences significatives pour les entreprises.
Sources :
Gemini, l'échange de crypto-monnaies, révèle une violation de données de tiers
L'échange de cryptomonnaies Gemini a récemment annoncé avoir subi une violation de données due à une cyberattaque ciblant son fournisseur de services de compensation automatisée (ACH), dont le nom n'a pas été divulgué. Les notifications aux clients touchés ont commencé le 26 juin 2024, après qu'un acteur non autorisé ait accédé aux systèmes du fournisseur entre le 3 et le 7 juin. Cette violation a exposé des informations bancaires de certains clients, notamment leur nom complet, numéro de compte bancaire et numéro de routage, utilisés pour les transferts de fonds ACH. Cependant, aucune autre donnée personnelle, comme la date de naissance ou les informations de sécurité sociale, n'a été compromise. L'incident est désormais contenu et une enquête est en cours avec l'aide d'experts externes. Les destinataires des notifications sont conseillés de rester vigilants face à d'éventuelles fraudes et d'activer l'authentification à deux facteurs sur leurs comptes bancaires. Ils sont également encouragés à contacter leur banque pour des mesures de protection supplémentaires. Bien que Gemini ait subi une autre violation majeure en 2022, aucune information sur le nombre de clients affectés par cet incident récent n'a été fournie.
Sources :
Google corrige un bug du gestionnaire de mots de passe Chrome qui masque les informations d'identification
Google a corrigé un bug dans le gestionnaire de mots de passe de Chrome qui avait temporairement fait disparaître les identifiants des utilisateurs pendant plus de 18 heures. Ce problème, survenu mercredi, a touché environ 2 % des utilisateurs de Windows ayant mis à jour vers la version 127 du navigateur. De nombreux utilisateurs ont signalé que tous leurs mots de passe avaient disparu après la mise à jour, tandis que d'autres étaient constamment invités à enregistrer leurs mots de passe après chaque connexion. Dans un rapport d'incident, Google a expliqué que l'incident était lié à un "changement de comportement du produit" et a confirmé qu'un correctif avait été déployé jeudi. Les utilisateurs affectés ne pouvaient pas voir leurs mots de passe, bien qu'ils puissent les enregistrer. Google a conseillé aux utilisateurs de redémarrer leur navigateur pour appliquer le correctif. Si le problème persistait, une méthode alternative impliquant une commande spécifique dans le raccourci de Chrome a été suggérée. Ce correctif vise à restaurer la fonctionnalité normale du gestionnaire de mots de passe et à éviter de futures frustrations pour les utilisateurs.
Sources :
L'impact de la violation de données du FBCS atteint désormais 4,2 millions de personnes
L'agence de recouvrement de créances Financial Business and Consumer Solutions (FBCS) a révélé que la violation de données survenue en février 2024 touche désormais 4,2 millions de personnes aux États-Unis. Initialement, en avril, l'entreprise avait estimé que 1,9 million de personnes avaient vu leurs informations personnelles sensibles compromises. Ce chiffre a été révisé à 3,2 millions en mai, avant d'atteindre le chiffre actuel de 4 253 394 personnes. Les données exposées varient selon les individus et peuvent inclure des informations telles que le nom complet, le numéro de sécurité sociale, la date de naissance, des informations de compte et le numéro de permis de conduire. Des notifications de violation de données ont été envoyées aux personnes supplémentaires à partir du 23 juillet, les avertissant des risques accrus de phishing et de fraude. Ces notifications incluent des instructions pour s'inscrire à un service gratuit de surveillance de crédit et de restauration d'identité pendant 24 mois. FBCS a détecté un accès non autorisé à son réseau le 26 février, mais n'a pas précisé la nature de l'attaque ni identifié de groupes de ransomware responsables. Les personnes touchées sont conseillées de surveiller leurs rapports de crédit pour détecter d'éventuelles activités frauduleuses.
Sources :
Les mises à jour de Windows Server de juillet interrompent les connexions au bureau à distance
Les mises à jour de sécurité de juillet 2024 de Microsoft ont causé des interruptions des connexions de bureau à distance sur les serveurs Windows utilisant le protocole RPC over HTTP dans le Remote Desktop Gateway. Microsoft a confirmé que ce problème peut entraîner des déconnexions intermittentes, avec des sessions de connexion perdues toutes les 30 minutes, forçant les utilisateurs à se reconnecter. De nombreux administrateurs ont signalé des plantages fréquents du service RD Gateway après l'installation de ces mises à jour, entraînant des pertes de temps et d'argent. Les versions de Windows Server affectées incluent 2022, 2019, 2016, 2012 R2 et 2012, avec des mises à jour spécifiques identifiées. Microsoft travaille sur un correctif et propose deux solutions temporaires : interdire les connexions via le port \pipe\RpcProxy\3388 et modifier la clé de registre RDGClientTransport. Les administrateurs sont conseillés de sauvegarder le registre avant toute modification. Ce n'est pas la première fois que Microsoft fait face à des problèmes de connectivité RDP, ayant déjà corrigé des bugs similaires en 2022. Les utilisateurs sont avertis de la prudence concernant ces mises à jour.
Sources :
Acronis met en garde contre l'utilisation abusive du mot de passe par défaut de l'infrastructure informatique dans le cadre d'attaques
Acronis a averti ses clients d'une vulnérabilité critique dans son infrastructure Cyber, permettant aux attaquants de contourner l'authentification sur des serveurs vulnérables en utilisant des identifiants par défaut. Cette faille, identifiée sous le code CVE-2023-45249, permet à des attaquants non authentifiés d'exécuter du code à distance sur des serveurs Acronis Cyber Protect (ACI) non corrigés, sans nécessiter d'interaction utilisateur. Plus de 20 000 fournisseurs de services utilisent ACI pour protéger plus de 750 000 entreprises dans plus de 150 pays. La vulnérabilité a été corrigée il y a neuf mois, mais elle affecte plusieurs versions d'ACI, notamment les versions antérieures à 5.0.1-61, 5.1.1-71, 5.2.1-69, 5.3.1-53 et 5.4.4-132. Acronis a confirmé que cette faille a été exploitée dans des attaques réelles et a exhorté les administrateurs à mettre à jour leurs installations immédiatement. L'entreprise souligne l'importance de maintenir les logiciels à jour pour garantir la sécurité des produits Acronis et fournit des instructions pour vérifier la version des serveurs et effectuer les mises à jour nécessaires.
